综述
云点播自2024年11月13日起,从原先CDN+IAM切换至天翼云统一身份认证服务(以下简称“CTIAM”)。 通过CTIAM用户可以在统一的主子账号体系下对云点播产品的资源、权限进行管理,降低管理员维护的成本,保持天翼云账号权限管理的一致性。由于两者在使用习惯上存在一定的差异,无法做到无感知平移切换,特对两者的差异和割接后的注意事项说明。
割接升级公告
关于2024年11月13日媒体存储、云点播产品功能变更的公告
相关术语说明
- 增量子用户:自2024年11月13日后从CTIAM统一认证管理平台新增的子用户。
- 存量子用户:自2024年11月13日前主账号通过原CDN+IAM创建的子用户。
CDN+IAM和CTIAM的使用差异
| CDN+IAM | CTIAM | |
|---|---|---|
| 登陆入口 | 主、子账号登陆入口不同。主账号通过天翼云CTIAM登陆,子账号通过CDN+IAM入口登陆。 | 主子账号均通过CTIAM入口登陆。 |
| 登录凭证 | CDN+IAM配置的虚拟邮箱,或手机号码登陆。手机号码在平行工作区内保持唯一性。 | 使用在天翼云CTIAM配置的认证邮箱、手机号码登陆。手机、邮箱在当前组织(企业)内保持唯一性。 存量子用户在迁移完成后,默认填入虚拟手机号码,该号码需修改为真实号码方可使用。 |
| 创建子用户 | 在CDN+IAM控制台创建。CDN+IAM控制台支持多个平行的组织(工作区),在不同组织创建的子用户权限不互通。 | 在CTIAM控制台创建。同一个主账号仅支持一个组织。 |
| 删除子用户 | 子用户在云点播的权限配置会被全量清理,且无法恢复。 | 子用户在云点播的权限配置会被全量清理,且无法恢复。 |
| 撤销子用户权限 | 无对应逻辑。 | 子用户在云点播的权限配置会被全量清理,且无法恢复。 |
| 冻结子用户 | 无对应逻辑。 | 子用户在云点播的权限配置会被冻结,相关权限信息保留,暂不清理。 |
| 主账号AK/SK | 不接受CDN+IAM产生的AK/SK,用户使用云点播原生AK/SK调用接口。最多允许5组原生AK/SK。 | 仅接受CTIAM产生的AK/SK,云点播不再自行产生原生AK/SK密钥对。存量AK/SK仍然可用。CTIAM最多支持创建2组AK/SK。 |
| 子账号AK/SK | 无子用户AK/SK。子用户使用主账号AK/SK操作API接口。 | 由CTIAM产生子用户的AK/SK,子用户在CTIAM控制台查看各自的密钥对。 |
| 子用户授权 | 无实体权限与CDN+IAM对接。 | 与CTIAM权限体系对接,后续会持续新增权限策略。 |
割接后注意事项
存量子用户登陆凭证重置
在割接完成后,子用户的登陆入口由原先的CDN+IAM切换至天翼云CTIAM。您无需特意记住登陆入口,在访问云点播产品控制台时,后台会根据您当前的登陆凭证自动切换主、子账号的控制台。但子用户在首次登陆时,需要由主账号在CTIAM重置子用户的登陆凭证。具体操作步骤如下:
- 使用主账号身份访问天翼云统一身份认证服务。
- 存量子用户会被迁移至CTIAM。您在登陆CTIAM后,可以在【用户】入口看到很多新增的子用户数据。由于CDN+IAM支持多个平行的工作区,而CTIAM无对应的映射关系,因此在CDN+IAM所有平行工作区的所有子用户都将被迁移至CTIAM。
- 您需要在【用户】入口找到需要重置身份的子用户,点击右侧操作栏的【编辑】按钮(注意不是【重置密码】)。
- 在弹出的【修改用户】窗体,您可以对【用户名】、【邮箱】、【手机号】进行修改完善。从CDN+IAM迁移过来的用户,邮箱会被初始化填入一个类似xxxxx@1000xxxx.vipctcdn.cn的虚拟邮箱。该虚拟邮箱是子用户在原CDN+IAM的登陆凭证。您可以修改为新的邮箱,但请注意保持全局唯一性(即该邮箱在天翼云账号体系中未被使用过,无论是作为主、子账号身份凭证。)同时,在【手机号】栏会有一个初始化的虚拟手机号码,该号码并非该子用户的真实号码,因此无法接收到来自于天翼云的各类通知短信。您可以将其修改为真实的手机号码,但请注意保持组织内唯一性(即该邮箱在当前组织内体系中未被使用过,无论是作为主、子账号身份凭证。)在完成身份凭证修改后,点击【确定】即可。
- 【本步骤可选】在【用户】入口找到需要刚才重置身份的子用户,点击右侧操作栏的【重置密码】按钮。在弹出的窗口中,使用主账号的手机号码,对子用户的初始密码进行重置。由于IAM迁移过程不能迁移密码,因此在迁移完成后子用户的初始密码未知,子用户无法使用原先在CDN+IAM的密码登陆。
- 【本步骤可选】如果需要重置密码的子用户数量较多,您可以在第四步完成手机号码重置之后,在子账号首次登陆时,通过忘记密码的流程对子用户密码进行重置。(1)在登陆窗口选择【账号登陆】,点击【忘记密码】(2)输入第四步重置的账号信息,建议输入手机号码。如果您使用邮箱作为登陆凭证,需要确保割接时使用的虚拟邮箱已被替换成真实的邮箱地址,否则可能接收不到验证信息,导致重置流程失效。(3)如果您的手机号在天翼云注册过多个主、子账号身份,您需要在接下来的界面选择根据脱敏信息匹配当前组织的子账号身份。(4)在接下来的步骤中输入符合安全规则的密码,即可完成密码重置。
存量子用户权限
云点播在原CDN+IAM未使用权限策略相关功能,本次割接不涉及到权限迁移相关的技术问题。出于后续产品功能演化的考虑,在割接至CTIAM后引入了权限策略相关的产品功能。因此存量子用户在迁移至CTIAM之后,会默认添加一条名为【云点播-产品侧授权】的虚拟全局权限。该权限作为子用户具备使用云点播产品服务的唯一标识。如您解除该条授权,意味着当前子用户不再具备登陆控制台、调用API、SDK的能力。如当前子用户仍处于在用状态,请勿随意解除授权。
删除子用户
当您在CTIAM删除一个子用户时,其操作行为等效于将该子用户的所有产品权限(包括云点播)撤销,并删除了当前子用户的全部AK/SK。由于影响面很大且属于高危操作,请在执行前务必再三确认!
其他问题说明
- 如您使用Firefox浏览器访问CTIAM,可能会在用户控制台界面出现频繁刷新的现象。推荐您使用Chrome、Edge等浏览器访问。
- 当主账号(预付费模式)发生欠费冻结时,产品侧收到来自于IT计费系统的冻结信号,将会冻结主、子用户的使用权限,具体表现为主账号可登陆控制台,但部分操作可能失效或者报错;子用户将被拒绝登陆,相关AK、SK将会冻结失效。遇到此类情况,您只需要保持预付费账号金额为正,相关冻结状态即可被解除。
- 当前阶段,云点播尚未对接CTIAM的【企业项目】、【委托】、【身份提供管理】等功能组件。如您使用了相关功能,则对应功能特性在云点播均不生效。
- 云点播暂未完全对接CTIAM的权限功能,请勿使用【用户组】、【自定义策略】等相关功能。
- 云点播暂未对资源池做特异性权限区分,因此建议使用全局赋权的模式,避免对单一资源池进行赋权。
